Sérülékenységvizsgálat

Feltárjuk a védelmi rendszer hiányosságait,
és megmutatjuk a következő helyes lépést

Az informatikai rendszerek, eszközök, alkalmazások, hálózatok zártságát és biztonsági megfelelőségét sérülékenységvizsgálatok, illetve penetrációs tesztek (a továbbiakban együttesen: sérülékenységvizsgálat) útján is célszerű és szükséges vizsgálni. A sérülékenységvizsgálat célja a megelőzés, a potenciális gyengeségek, sebezhetőségek feltárása és lehetőség szerinti eliminálása (a sérülékenységek kiiktatása, a rendszerek megerősítése, hardening lehetőségének biztosítása), mielőtt azokat sikeres támadások során kihasználhatnák.

Sérülékenységvizsgálati tevékenységünket az iparági legjobb gyakorlatokra épülő, alábbi szabványoknak és előírásoknak megfelelő módszertan alapján végezzük:

National Institute of Standards and Technology (NIST) SP 800-115 Technical Guide to Information Security Testing and Assessment; 
Institute for Security and Open Methodologies (ISECOM) OSSTMM 3 – The Open Source Security Testing Methodology Manual; 
Open Web Application Security Project (OWASP) Testing Guide; 
PTES The Penetration Testing Execution Standard; 
Penetration Testing Framework; 
Center for Internet Security (CIS) Critical Security Controls for Effective Cyber Defense (SANS 
Institute - Top 20 Critical Security Controls); 
ISA/IEC 62443-4-2 Security for Industrial Automation and Control Systems: Technical Security Requirements for IACS Components; 
ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements.
A sérülékenységvizsgálat előkészítésekor, az ügyféligények és az irányadó követelmények alapján határozandó meg annak terjedelme, iránya és jellege. A vizsgálat terjedelme, szkópja jelöli ki az abban érintett rendszereket, alkalmazásokat, folyamatokat és adatbázisokat, azzal, hogy a vizsgálat nem kizárólag egy rendszerkomponensre, hanem a rendszer egészére és jellemzően annak környezetére is kiterjed; míg iránya a támadás feltételezett iránya (attack vector), ami lehet külső, így például az Internet, DMZ, külső partnerek; vagy belső vezetékes, vezeték nélküli hálózatból, belső hálózati szegmensekből, munkaállomásról induló.

A sérülékenységvizsgálat három egyedi lépcsőfoka

A vizsgálat jellege lehet eseti vagy rendszeres, átfogó, gyors, jogosultság nélküli (black box), részleges (grey box) vagy teljes jogosultsággal (white box) végrehajtandó.

Black Box vizsgálat

Részletek
Black box vizsgálat esetén szakértőink minden előismeret és hozzáférési jogosultság nélkül végzik tevékenységüket, a külső támadókhoz hasonlóan nem ismerik az eszköz, rendszer, alkalmazás és hálózat felépítését. A vizsgálati módszer előnye viszonylagos gyorsasága, mivel – mindaddig, amíg releváns sérülékenység, hozzáférést eredményező hiba nem azonosítható – belső információk nélkül, kizárólag a külső hálózatokból, vagy a működés elemzése útján elérhető komponensekre, információkra terjed ki. A vizsgálati módszerrel rendkívül pontos kép alkotható arról, mire lehet képes egy külső támadó. Az előny egyben hátrány is, a módszer nem számol azokkal az akár belső támadókkal, akik a rendszer vonatkozásában – bármely okból – részletesebb ismeretekkel vagy hozzáférési jogosultsággal rendelkeznek (pl. privilegizált felhasználók, fejlesztők, stb.), illetve nem, vagy csak erős korlátozásokkal alkalmas lateral movement-re épülő támadások felderítésére.

Grey Box vizsgálat

Részletek
Grey box vizsgálat esetén a megbízó a külső támadók által elérhető információkon túl valamilyen többletinformációt, – akár többszintű – jogosultságot biztosít a vizsgálatot végző szakértő számára. A vizsgálatot olyan rendszereken, illetve rendszerkomponenseken célszerű elvégezni, ahol korlátozott, például regisztrációval létrehozható felhasználói hozzáféréssel lehet műveleteket végrehajtani.

White Box vizsgálat

Részletek
White box vizsgálat esetén a megbízó teljes (privilegizált) hozzáférést biztosít az érintett alkalmazáshoz, rendszerhez, megadja annak konfigurációs beállításait. A vizsgálat a konfiguráció biztonsági célú elemzését, felülvizsgálatát, adott esetben – a biztonságkritikus megoldások kiszűrése, azonosítása érdekében – a forráskód elemzését, illetve a rendszer túlterheléses tesztelését (az erőforrások olyan szintű kihasználását, amely mellett a rendeltetésszerű használathoz kapcsolódó kérések kiszolgálása akadályozott, vagy ellehetetlenül) is magában foglalja. A white box metodika hátránya a jelentős idő- és infrastruktúra igény, a vizsgálati módszer jellemzően tesztrendszer alkalmazását igényli, mely sok esetben – a legjobb szándék ellenére is – releváns jellemzőiben eltér a működő, „éles” rendszertől.

Segítségre van szükséged?

Átvizsgáljuk a cég működését, és feltárjuk az esetleges veszélyforrásokat.
Fordulj hozzánk bizalommal!
Ajánlatkérés
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram